<?php echo use_stylesheet('estilo_reporte.css');?>
<?php slot('actions') ?>
  <ul>
    <li><?php echo link_to('Volver','@homepage')?></li>
    <li> Reportes Teoricos </li>
    <li><a href="<?php echo url_for('vulnerabilidad/reportxss') ?>">XSS</a></li>
    <li><a href="<?php echo url_for('vulnerabilidad/reportpharming') ?>">Pharming</a></li>
    <li><a href="<?php echo url_for('vulnerabilidad/reportspoofing') ?>">Spoofing</a></li>
    <li><a href="<?php echo url_for('vulnerabilidad/reportsql') ?>">Sql Injection</a></li>
    <li><a href="<?php echo url_for('vulnerabilidad/reportsafeconf') ?>">Configuraciones Seguras</a></li>
  </ul>
<?php end_slot();?>
<div class="reporte_titulo">Phishing </div>
                <div class="reporte_contenido">
                <p>
Podemos decir que el phishing no es mas que un tipo de delito que encuadra en el ambito de las estafas. En estos ataques lo que se intenta es obtener informacion critica para el sistema (como pueden ser numeros de tarjeta de credito, usuarios, contraseñas, etc) por medio de la aplicación de tecnicas como es la ingenieria social, donde el atacante ( o phisher) simula una comunicación oficial (un mail del banco, una comunicación telefonica de un ejecutivo de alto cargo, etc), intentando hacer creer a la victima que el es una persona de confianza.</br>
                </p>
                </div>
                <div class="reporte_subtitulo">Mecanismos de phishing</div>
                <div class="reporte_contenido">
                <p>
La mayoría de los métodos de phishing utilizan alguna forma técnica de engaño en el diseño para mostrar que un enlace en un correo electrónico parezca una copia de la organización por la cual se hace pasar el impostor. URLs mal escritas o el uso de subdominios son trucos comúnmente usados por phishers, como el ejemplo en esta URL,</br>
http://www.nombredetubanco.com.ejemplo.com/. Otro ejemplo para disfrazar enlaces es el de utilizar direcciones que contengan el carácter arroba: @, para posteriormente preguntar el nombre de usuario y contraseña (contrario a los estándares). Por ejemplo, el enlace http://www.google.com@members.tripod.com/ puede engañar a un observador casual y hacerlo creer que el enlace va a abrir en la página de www.google.com, cuando realmente el enlace envía al navegador a la página de members.tripod.com (y al intentar entrar con el nombre de usuario de www.google.com, si no existe tal usuario, la página abrirá normalmente). Este método ha sido erradicado desde entonces en los navegadores de Mozilla e Internet Explorer. Otros intentos de phishing utilizan comandos en JavaScripts para alterar la barra de direcciones. Esto se hace poniendo una imagen de la URL de la entidad legítima sobre la barra de direcciones, o cerrando la barra de direcciones original y abriendo una nueva que contiene la URL ilegítima.</br></br>
En otro método popular de phishing, el atacante utiliza contra la víctima el propio código de programa del banco o servicio por el cual se hace pasar. Este tipo de ataque resulta particularmente problemático, ya que dirige al usuario a iniciar sesión en la propia página del banco o servicio, donde la URL y los certificados de seguridad parecen correctos. En este método de ataque (conocido como Cross Site Scripting) los usuarios reciben un mensaje diciendo que tienen que "verificar" sus cuentas, seguido por un enlace que parece la página web auténtica; en realidad, el enlace está modificado para realizar este ataque, además es muy difícil de detectar si no se tienen los conocimientos necesarios.</br></br>
Otro problema con las URL es el relacionado con el manejo de Nombre de dominio internacionalizado (IDN) en los navegadores, puesto que puede ser que direcciones que resulten idénticas a la vista puedan conducir a diferentes sitios (por ejemplo dominio.com se ve similar a dοminiο.com, aunque en el segundo las letras "o" hayan sido reemplazadas por la correspondiente letra griega ómicron, "ο"). Al usar esta técnica es posible dirigir a los usuarios a páginas web con malas intenciones. A pesar de la publicidad que se ha dado acerca de este defecto, conocido como IDN spoofing o ataques homógrafos ningún ataque conocido de phishing lo ha utilizado.
                </p>
                </div> <!--Contenido Class End Tag-->
                <div class="reporte_subtitulo">Contra medidas a estos ataques</div>
                <div class="reporte_contenido">
                <p>
Existen varias técnicas diferentes para combatir el phishing, incluyendo la legislación y la creación de tecnologías específicas que tienen como objetivo evitarlo. A continuacion se explicaran un poco mas en profundidad las medidas contra estos ataques.</br>
Por un lado, una de las estrategias para combatir este tipo de estafas, es el fortalecer el eslabon mas debil de la cadena, que en muchos casos suele ser los empleados que utilizan los sistemas de la empresa. Ellos son los que se encuentran mas vulnerables a ser elejidos como blanco para las estafas, ya que manejan informacion sencible a los sistemas y por lo general no tienen un entenamiento sobre las cuestiones de seguridad. Es por esto que muchas empresas manejan planes de capacitacion para sus empleados, de tal forma que puedan reconocer posibles ataques y actuar de forma acorde.</br>
Las respuestas tecnicas otorgadas por los sistemas, suelen ser herramientas automatizadas las cuales trabajan identificando contenido que podria ser utilizado para un ataque (e-mails, sitios web, etc.). Dentro del grupo de estas aplicaciones podemos encontrar plug-in's para los navegadores los cuales nos informan de las acciones que se llevan a cabo y que pueden pasar desapercibidas por el usuario, o si el sitio a sido calificado como inseguro. Otra herramienta muy popular son los filtros de spam, los cuales se encargan de reducir el numero de mails relacionados con el pishing recibidos por el usuario.
                </p>
                </div>
